Я нашел руководство, которое учит, путем включения аудита системного журнала активности через gpedit.msc, как читать действия входа в систему через eventvwr.msc
Является ли этот способ мониторинга полностью всеобъемлющим?
У меня есть некоторые сомнения. Например, Windows не дает возможности зарегистрировать подключение к удаленному рабочему столу. активность входа в систему, может быть, я устал, но, похоже, здесь нет.
У вас есть какой-нибудь взлом, чтобы действительно проверить, использовалась ли система? Всегда думая, что у меня есть права администратора, у меня есть идея реализовать своего рода скрытую партию, которая могла бы вести журнал для меня ... есть ли что-то подобное в сети?
Вам следует больше изучить идентификатор события входа в систему и типы входа в систему. эта ссылка помогает.